这个冇重要啦，可有建议性的方案？

回答下答主的问题：

**使用了 HTTPS** 只是保护了用户的数据：这种情况可以防止黑客在网络层（包括公网、内网）截取或者串改数据。
**请求签名** 通常会结合 HTTPS 使用。我们假设一种情况，如果用户本身是个黑客、攻击者，怎么防止（或者加大成本）黑客的请求篡改攻击行为？请求签名+加密就由此而生，加密请求后，如果是 Web 、安卓环境通常还需要对代码混淆、加壳，加大反编译破解成本。当然，这种操作无法杜绝攻击行为，但可以让过去几秒钟的攻击成本提升至数小时（高手），甚至数天，让攻击者的篡改得不尝失.

国产厂商还在考虑通过签名来防止篡改；而 Apple 和 Windows 在新版本终端硬件要求厂家提供 TPM 模块，提供硬件可信；同时 Google 已经考虑在 Chrome 加入网页可信验证功能了[1]，尝试从系统、浏览器底层杜绝请求篡改.

- [1]. Web Environment Integrity(网页可信环境 API) https://github.com/RupertBenWiser/Web-Environment-Integrity/blob/main/explainer.md

@wudaye 内网没用，得入侵到本机才行

@Showfom 多数这个 QoS 是针对客户端 IP 的，而非针对某个域名。

iPhone 的定价与成本无关

这个你可以试下。或者使用 Tunnel 来给 GTS 开启 VPN ，然后你 ACME 客户端机器加个 hosts

Apple Music 就是从 iTunes 改名过来的

@azure2023us928 邮件发送账单，用户支付后下次定时再续期；这个没有在申请文件中展开，很多边缘的拓展说明在最终申请文件里面精简了，原件 9 页，PDF 只有 4 页面。

互联网创业其实还是有机会的；当然需要胆识、时间和耐心；更重要的是要能留住客户资源拿到订单，相比之下，订单比技术更重要‼️

@abelyao Richard Wang, Formerly CEO of WoSign.

@yasi 应用层的域名和 URL 未发生变更即可

@daimaosix 对，除非自己当 CA 。或者...

proxy_pass 没有用的；

因为 ACME 协议中，ACME 客户端会对每个请求的 url 进行签名（ `payload` 的 `signature` 的 factors 包含 `url`；）；
如果对请求 URL 进行反代，ACME 客户端会对签名 url 也保持反代后的 url ，但是 ACME 服务器（例如 `let's encrypt` 或者 `sectigo`(ZeroSSL 的 ACME 方案提供商) 对这个 URL 是不认可的，他们还按照你反代前的 URL 进行算签，结果 CA 算出来的签名和客户端签名不符，就报错了。

map 指令

我错了... 杨森淼果然是女的

她?她?她?

@SourceMan 前端是可信的就行了, 不管操作者是谁